SSL cassé sera vite oublié

Actualités - Espionnage - Posté on 12 Sep 2013 at 9:16 par Solange Belkhayat-Fuchs

Trois semaines durant, la presse qui raffole d’histoires d’espionnage n’a eu d’attention que pour les écoutes de la NSA et les efforts de piratage de la No Such Agency visant les liaisons SSL (ou plus exactement les « regrettables erreurs commises dans certaines implémentations de SSL ») et les conversations réalisées à l’aide de téléphones portables (voix, SMS, emails, photos etc.). Pourtant, en ce lendemain du 11 septembre, cette même presse est frappée d’amnésie… en raison de la sortie d’un nouveau téléphone un peu plus intelligent, un peu plus collecteur d’informations, un peu plus lié aux réseaux sociaux et à leurs atteintes à la vie privée, un peu plus avide de synchronisations hasardeuses avec un ordinateur de bureau : les iphone 5C et 5S sont sur le marché. Oubliés, les risques d’écoute, de pillage de données et le spectre des collectes de métadonnées : la techno-mode l’emporte, et strictement aucun journaliste ne se hasarde à revenir sur la sympathie d’Apple vis-à-vis des fonctionnaires de l’Administration Fédérale US en général et ceux de la NSA en particulier. Qui aurait cru, il n’y a pas 24 heures, que le marketing résoudrait d’un coup les complexes problèmes de compromission des algorithmes de chiffrement. Il s’est rédigé en une nuit plus de papiers sur les icones et le look du dernier iphone que d’articles sur les implications politiques des révélations Snowden tout au long des 5 derniers jours. A tel point que la page de garde de nos confrères de Network World fait cohabiter deux articles étonnamment opposés, l’un intitulé « les récentes activités de la NSA soulèvent de sérieuses questions à propos des rapprochements réalisés avec les industries technologiques » et un autre qui titre « IOS 7 : beaucoup de choses que les professionnels de la sécurité vont apprécier ». Cynisme ou Alzheimer galopant ? Et nos confrères d’IDG ne sont certainement pas les seuls à se pâmer devant un simple GSM.

Pas d’amnésie en revanche chez Google, dont la confiance a durement été touchée par la crise NSA. Google jura, mais un peu tard, qu’on ne l’y prendrait plus. Et de promettre illico le chiffrement de ses serveurs Cloud. Ce que l’on comprend difficilement, c’est comment un chiffrement « server side » pourrait bien éviter qu’un ordre d’accès délivré en raison du Patriot Act puisse déchiffrer lesdites données avant d’être communiquées aux autorités US. Donner à l’usager le choix de gérer ses propres clefs, ce n’est pas donner à l’usager le droit de choisir son propre algorithme de chiffrement. Quelques rares fournisseurs de services, ainsi Hushmail, préviennent depuis quelques temps leurs usagers qu’aucune clef « server side » ne résiste plus de quelques secondes lorsque le « brute force » se présente sous la forme d’une injonction de la cour ou d’une requête pressante d’une super-barbouze.

Pas d’amnésie non plus auprès de la majorité des prestataires de services les plus en vue (dont certains des « Big Five ») qui s’évertuent à étaler leur probité et fournir à leurs usagers l’état exact de ces intrusions barbouzesques. Ce ne fut d’ailleurs pas sans mal. L’on peut ainsi retrouver sur Cryptome les demandes que Yahoo, Facebook et Google ont déposé auprès de la justice US pour que chacun puisse offrir un « droit de regard » sur ces fameuses demandes de consultation effectuées par les services de police. Faute avouée n’est pas à pardonner. Soyons tout de suite rassuré, les principaux pays démocratiques d’Europe de l’Ouest (France, Allemagne, Italie, Grande Bretagne) se placent avec honneur dans le peloton de tête des états soucieux de fournir une information abondante à leurs services de police. Et ce manifestement sans motif réellement légitime. A titre d’exemple, si l’on se réfère aux chiffres publiés par Yahoo pour la période de janvier à juin de cette année, nos vaillants pandores ont émis 1855 demandes d’information portant sur près de 2300 comptes. Durant cette même période, en Inde, le gouvernement émettait 1500 demandes portant sur 2700 comptes. Des chiffres comparables pour deux pays que tout sépare : 1, 3 milliard d’habitants et 3,2 millions de km² d’un côté, 66 millions et 600 000 km² de l’autre. Et ne mentionnons pas les problèmes liés aux tensions communautaires qui se soldent parfois par des bains de sang au pays de Gandi.

Amnésie. SSL cassé (ou mal intégré) réveillera-t-il un peu plus les consciences des administrateurs systèmes ? Car combien de certificats mal gérés (et pourtant tout à fait légitimes) affichent un message d’alerte qui, par habitude, sera ignoré du client distant ? Combien de pages Web sécurisées faciles à contourner donnent ensuite accès à des contenus confidentiels et autres bases de données client ?

Pas d’amnésie : Côté utilisateur, la compromission d’un mécanisme de chiffrement réputé complexe fera-t-il que les données personnelles seront mieux maîtrisées, que les faux liens diffusés par les réseaux sociaux ne seront plus « cliqués » par tel ou tel fonctionnaire de l’Elysée, que les emails de phishing ou les pdf douteux ne seront plus lus ouverts tant par un éleveur de Haute Savoie ou un employé du Ministère des Finances à Bercy ?

Amnésie : Cette soudaine frayeur fera-t-elle en sorte que les éditeurs eux-mêmes corrigeront de fond en comble leurs offres afin que l’on n’ait plus à redouter telle ou telle faille ASN1, telle édition de Bind réputée trouée, ou telle version de TLS qui ne parvient pas à franchir la barrière 1.0 ? Pourra-t-on un jour résoudre la question du « chiffrement de bout en bout » afin que nul routeur, nul commutateur ou serveur intermédiaire n’ait à déchiffrer/re-chiffrer un contenu pour des raisons d’optimisation de fonctionnement ou… de sécurité ? La fragilité des passerelles et changement de protocoles sont les deux plaies de l’interconnexion des réseaux. Sans l’aide de la NSA, les systèmes prétendument les plus sécurisés accueillent à bras ouverts les collecteurs de données les plus divers. Il y en a comme ça des pages entières sur le site DataLossDb, il en existe probablement bien plus sur les serveurs de stockage des agences à trois lettres.

Pas d’amnésie enfin, une fois de plus grâce aux archives de Cryptome qui publie les versions en langue Allemande et Anglaise de l’enquête de Marcel Rosenbach, Laura Poitras et Holger Stark sur la façon dont la NSA surveille les échanges effectués à l’aide des téléphones « intelligents ». Un long article que l’on peut rapprocher du papier de Gabrielle Coppola sur Bloomberg et qui révèle que les emails et conversations téléphoniques du Président du Brésil Dilma Rousseff étaient sous-marinés par la NSA, tout comme, d’ailleurs, la hiérarchie de la compagnie d’Etat Petroleo Brasileiro.

De tout ceci, il ne ressort qu’une chose importante : Apple sort « enfin » iphone 5S …

1 commentaire

  1. Keltic Lago

    Superbe!!!!!!

Laisser une réponse